• 我国实战攻防演练的发展现状


    实战攻防演练的发展现状

    1. 实战攻防演练向规模化演变

    我国实战攻防演练的发展分为两个阶段:第一阶段是试验阶段, 以学习先进实战经验为主,参演单位少,演练范围小;第二阶段是推 广阶段,实战演练发展飞速,参演单位数量暴增,演练走向规模化。

    2016年《中华人民共和国网络安全法》的颁布,标志着我国的网 络安全攻防演练进入试验阶段。当年,我国在举行第一场实战攻防演 练后,迅速将网络安全实战演练推上日程,为日后发展打下了坚实基 础。在试验阶段,世界上著名的“网络风暴”“锁盾”等网络攻防演 练行动为我国实战攻防演练发展提供了参考。在各部门的高度重视 下,演练范围越来越广,参演单位数量和涉及行业逐年增多,我国实 战攻防演练开始走向规模化。时至今日,监管机构和各行业都已开展 了实战攻防演练,在实战演练中诞生了一大批网络安全尖兵。

    1. 演练规则向成熟化演变

    随着国内实战攻防演练的规模逐渐扩大,演练规则也在逐年完 善,覆盖面更广,内容更贴合实战,在发展过程中渐渐成熟。从规则 设置看,数量逐年增加,规则进一步细化,要求更严。对攻击方而 言,要尽可能地找出系统中存在的所有安全问题,穷尽所有已知的攻 击方法,达到让终端、边界、目标系统失陷的目的;对防守方而言, 要进行网络安全监测、预警、分析、验证、处置等一系列工作,并在

    后期复盘总结现有防护工作中的不足之处,为后续常态化的网络安全 防护措施提供优化依据。从具体内容看,规则制定紧贴网络安全发展 形势,向实战化倾斜。比如,针对APT攻击,要求防守方做到在攻击发 生后,不仅要保证损失降到最低,更要掌握是谁、通过何种方式进入 系统、做了什么。同时,针对网络安全“一失万无”的特性,除了保 护目标系统外,也要保证相关的业务安全运营,在演练中培养从业者 的全局意识。

    1. 演练频度向常态化演变

    在监管部门、政企机构的高度重视下,实战攻防演练逐渐走向常 态化,影响力进一步扩大。一年一度的实战攻防演练周期逐渐拉长。 同时,更多政企机构开始利用攻防演练检测自身的网络安全能力,从 而为后续网络安全建设指路。网络攻击突破空间限制,攻击速度快, 随时可能发生。应实战要求,攻防演练对抗周期逐年拉长。在贴合实 战的攻防博弈中,防守方必须进行全天候、全方位的网络安全态势感 知,增强网络安全防御能力和威慑力。实战攻防演练成为政企机构网 络安全防御能力的常态化检查手段。只有打一遍,在攻防对抗中发现 问题并解决问题,才能针对特定问题进行建设规划,全面提升网络安 全能力。现在很多大型政企机构希望专业的网络安全服务商先做一次 实战攻防演练,之后再根据演练结果进行定制化的网络安全规划与设 计服务。只有不断进行网络攻防演练和渗透测试,才能不断提升安全 防御能力,从而应对不断变化的新型攻击和高级威胁。

    1. 攻击手段向多样化演变

    随着演练经验的不断丰富和大数据安全技术的广泛应用,攻防演 练的攻击手段不断丰富,开始使用越来越多的漏洞攻击、身份仿冒等 新型作战策略,向多样化演变。

    2016年,网络实战攻防演练处于起步阶段,攻防重点大多集中于 互联网入口或内网边界。从演练成果来看,从互联网侧发起的直接攻 击普遍十分有效,系统的外层防护一旦被突破,横向拓展、跨域攻击 往往都比较容易实现。

    2018年,防守方对攻击行为的监测、发现能力大幅增强,攻击难 度加大,迫使攻击队全面升级。随着部分参与过演练的单位的防御能 力大幅提升,攻击队开始尝试更隐蔽的攻击方式,比如身份仿冒、钓 鱼Wi-Fi、供应链攻击、邮箱系统攻击、加密隧道等,攻防演练与网络 实战的水平更加接近。

    2020年,传统攻击方法越来越难取得成效,攻击队开始研究利用 应用系统和安全产品中的漏洞发起攻击。比如:大部分行业会搭建 VPN(Vitual Private Network,虚拟私人网络)设备,可以利用VPN 设备的一些SQL注入、加账号、远程命令执行等漏洞展开攻击;也可以 采取钓鱼、爆破、弱口令等方式来取得账号权限,绕过外网打点环 节,直接接入内网实施横向渗透。

    2021年,攻防对抗进一步升级,防守方攻击监测防护能力的大幅 提升以及攻防技术的快速提高,使得攻击队攻击成本和攻击难度也快 速提高。于是,攻击队开始大量使用社工攻击手段,从邮件钓鱼发展 到微信等多种社交软件钓鱼,甚至到物理渗透、近源攻击,力求有效 绕过防护壁垒,快速进入内网。网络安全实战演练是攻防对抗的过 程,攻击手段多样化的最终目的是提升网络安全防护能力,应对不断 变化的网络安全威胁。

    1. 安全防御向体系化演变

    近几年的实战攻防演练充分证明,没有攻不破的网络,没有打不 透的“墙”。面对多样化的网络攻击手段,不能临阵磨枪、仓促应 对,必须立足根本、打好基础,用系统思维开展体系化的网络安全建 设。网络安全防护思路,急需从过去的被动防御走向主动防御。被动 防御可以理解为“事后补救”,采用隔离、修边界等技术方法,是局 部的,针对单点的,安全产品之间缺乏联动。这种“头痛医头,脚痛 医脚”“哪里出问题堵哪里”的防御思路,已经不再适应当前的网络 安全形势。主动防御可以理解为“事前防控”,将关口前移,防患于 未然。在实战演练后,应对现有安全架构进行梳理,以安全能力建设 为核心思路,重新设计企业整体安全架构,通过多种安全能力的组合 和结构性设计,形成真正的纵深防御体系。

    蓝队

    1.2.1 什么是蓝队

    蓝队是指网络实战攻防演练中的攻击一方。

    蓝队一般会针对目标单位的从业人员以及目标系统所在网络内的 软件、硬件设备执行多角度、全方位、对抗性的混合式模拟攻击,通 过技术手段实现系统提权、控制业务、获取数据等渗透目标,从而发 现系统、技术、人员、管理和基础架构等方面存在的网络安全隐患或 薄弱环节。

    蓝队人员并不是一般意义上的黑客,黑客往往以攻破系统、获取 利益为目标,而蓝队则是以发现系统薄弱环节、提升系统安全性为目 标。此外,对于一般的黑客来说,只要发现某一种攻击方法可以达成 目标,通常就没有必要再去尝试其他的攻击方法和途径;而蓝队的目 标则是尽可能找出系统中存在的所有安全问题,因此蓝队往往会穷尽 已知的所有方法来完成攻击。换句话说,蓝队人员需要的是全面的攻 防能力,而不仅仅是一两项很强的黑客技术。

    蓝队的工作与业界熟知的渗透测试也有所区别。渗透测试通常是 指按照规范技术流程对目标系统进行安全性测试;而蓝队攻击一般只 限定攻击范围和攻击时段,对具体的攻击方法则没有太多限制。渗透 测试过程一般只要验证漏洞的存在即可,而蓝队攻击则要求实际获取 系统权限或系统数据。此外,渗透测试一般都会明确要求禁止使用社 工手段(通过对人的诱导、欺骗等方法完成攻击),而蓝队则可以在 一定范围内使用社工手段。

    还有一点必须说明,虽然实战攻防演练过程中通常不会严格限定 蓝队的攻击手法,但所有技术的使用、目标的达成都必须严格遵守国 家相关的法律法规

    在演练中,蓝队通常会以3人为一个战斗小组,1人为组长。组长 通常是蓝队中综合能力最强的,需要具备较强的组织意识、应变能力 和丰富的实战经验。而2名组员则往往需要各有所长,具备边界突破、横向拓展(利用一台受控设备攻击其他相邻设备)、情报搜集或武器 研制等某一方面或几方面的专长。

    蓝队工作对人员的能力要求往往是综合性的、全面的,蓝队人员 不仅要会熟练使用各种黑客工具、分析工具,还要熟知目标系统及其 安全配置,并具备一定的代码开发能力,以便应对特殊问题。
    蓝队演变趋势防守能力不断提升的同时,攻击能力也在与时俱进。目前,蓝队 的工作已经变得非常体系化、职业化和工具化。

    1)体系化。从漏洞准备、工具准备到情报搜集、内网渗透等,蓝 队的每个人都有明确的分工,还要具备团队作战能力,已经很少再有 一个人干全套的情况了。

    2)职业化。蓝队人员都来自专职实战演练团队,有明确分工和职 责,具备协同配合的职业操守,平时会开展专业训练。

    3)工具化。工具专业化程度持续提升,除了使用常用渗透工具, 对基于开源代码的定制工具的应用也增多,自动化攻击也被大规模应 用,如采用多IP出口的自动化攻击平台进行作业。

    从实战对抗的手法来看,现如今的蓝队还呈现出社工化、强对抗 和迂回攻击的特点。

    1)社工化。利用人的弱点实施社会工程学攻击,是黑产团伙和高 级威胁组织的常用手段,如今也被大量引入实战攻防演练当中。

    除了钓鱼、水坑等传统社工攻击手法外,蓝队还会经常通过在线 客服、私信好友等多种交互方式进行社工攻击,以高效地获取业务信 息。社工手段的多变性往往会让防守方防不胜防。

    2)强对抗。利用0day漏洞、Nday漏洞、免杀技术等方式与防守方 进行高强度的技术对抗,也是近一两年来蓝队在实战攻防演练中表现 出的明显特点。蓝队人员大多出自安全机构,受过专业训练,因而往 往会比民间黑客更加了解安全软件的防护机制和安全系统的运行原 理,其使用的对抗技术也往往更具针对性。

    3)迂回攻击。对于防护严密、有效监控的目标系统,正面攻击往 往难以奏效。这就迫使蓝队越来越多地采用迂回的攻击方式,将战线 拉长:从目标系统的同级单位和下级单位下手,从供应链及业务合作方下手,在防护相对薄弱的关联机构中寻找突破点,迂回地攻破目标 系统。

    参考资料

    红蓝攻防构建实战化网络安全防御体系
    青藤云安全 2022攻防演练蓝队防守指南

  • 相关阅读:
    android studio新版本gradle Tasks找不到assemble
    view的context一定是Activity吗
    MySQL5.5.28版本的安装与配置完整版
    解决Qt中文乱码
    算法通关村第十二关白银挑战——仅仅反转英文字母问题解析
    【React】useSyncExternalStore的作用是什么,怎么使用
    3.0、软件测试——测试用例
    Java 轻松删除PDF指定页、空白页 (免费工具分享)
    Linux常用指令
    C语言--tips1
  • 原文地址:https://blog.csdn.net/m0_73803866/article/details/127120526